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(57) Abstract 

Hie invention concerns 
a terminal equipped with an 
application programme, with 
at least one output consisting of 
either a display or a printer, or 
a communication network, or a 
portable object and co-operating 
with a portable object equipped 
with a non-volatile memory 
zone (ZD) containing data 
and comprising a reader 
communicating with said 
portable object. TTie invention 
is characterised in that the 
apparatus comprises means for 
reading or storing in its memory 
self-diagnostic or supervisory 
data (TC, Dj, Sk) and means for 
transmitting said data to specific 
outputs (1-4) on the basis of 
information supplied by the 
self-diagnostic or supervisory 

data following the execution of at least one task (Tt) of its application programme relative to the portable object. 
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(57) Abr6g6 

Terminal dot£ d'un programme d'application, d'au moins une sortie constituS soit par un affichage, soit par une imprimante, soit 
par un reseau de communication, soit par un objet portable et coopSrant avec un objet portable dot6 d'un zone de memoire non-volatile 
(ZD) con tenant des donnees et comportant un lecteur communiquant avec ledit objet portable, caracteris6 en ce que rappareil comporte des 
moyens de lecture ou de stockage, dans sa memoire, de donnees (Ti, Dj, Sk) d*autodiagnostic ou de supervision et un moyen d'emission 
desdites donnees vers des sorties (1-4) specifiees en fonction d' informations fournies par les donnees d'autodiagnostic ou de supervision 
suite a l'execution d'au moins une tache It de son programme d' application en relation avec r objet portable. 
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TERMINAL ET PROCEDE D'AUTODIAGNOSTIC OU DE SUPERVISION 
ET OBJET PORTATIF UTILISE DANS UN TEL TERMINAL OU PROCEDE 

La presente invention concerns un terminal et un proc6d6 d'autodiagnostic 
ou de supervision et I'objet portatif de type carte a microcircuit utilise dans 
5 un tel proc6de ou terminal ou lecteur. Ces objets comportent une Unite 
Centrale, une memoire programme contenant du code ex6cutable 
constituant le systeme Sexploitation, une m§moire de donn§es non volatile 
et programmable et, une ou plusieurs interfaces de communication. Les 
terminaux sont des appareils dot6s d'une interface compatible avec celles 
10 des objets, ils possedent une Unite centrale et un logiciel capable de 
communiquer et d'exploiter les donn6es provenant de la memoire non 
volatile de I'objet portable. 

En general, les terminaux sont equipes d'un logiciel sp§cifique 
correspondant d leur utilisation, par exemple, les terminaux portables de 

15 paiement sont dotes d'un programme Sexploitation de type bancaire. Ce 
logiciel est realise ou specifie par l'organisme qui gere cette application, 
dans I'exemple cit6, c'est un organisme bancaire. Cet organisme n'est 
g§n§ralement pas le fabricant du terminal, il achate ou fait fabriquer la partie 
mat§rielle c'est-3-dire le terminal, il y introduit le programme specifique afin 

20 de configurer son terminal pour sa propre application. L'organisme bancaire 
y trouve son avantage en achetant un produit standard done bon march§, et 
en I'adaptant selon ses besoins. Le fabricant propose un modele de base 
qui peut convenir a plusieurs applications, ce qui lui permet d'etendre son 
marche. 

25 L'organisme exploitant une application donnee peut desirer disposer de 
plusieurs modules de terminaux lecteurs de cartes, il n'est pas souhaitable 
de developper des logiciels applicatifs pour chaque terminal. Ce qui a 
conduit les fabricants a implementer une couche logicielle de base qui 
assure Tinterface entre le materiel et le logiciel applicatif. Cette couche 

30 logicielle assure Tadaptation entre un meme logiciel applicatif et des 
terminaux differents. Une fa?on de faire consiste a cr6er un interpr6teur, de 
telle sorte que l'organisme peut developper son application en langage 
§volu6 bien connu et ceci quasiment ind£pendamment des contraintes du 
materiel. Une autre fa?on de faire est d'organiser une couche logicielle de 
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bas niveau qui gere toutes les entries sorties materielles et, a mettre a la 
disposition de I'organisme exploitant une bibliotheque de primitives que le 
logiciel a p pi i cat if va appeler. 

Dans tous les cas, on doit etre en mesure de valider ou de tester le terminal 
5 dans son ensemble. La validation ou le test du terminal doit prendre en 
compte les deux parties : le materiel avec son logiciel de base et le logiciel 
d'application. Un auto-test permet de verifier chaque §quipement du 
terminal, il est gendralement constitu6 d'une routine implementee dans le 
logiciel de base. Le test du logiciel d'application doit §tre realise en 
10 laboratoire, il est important dans ce type d'application de bien verifier le 
fonctionnement du programme avant sa mise en service. Toutefois, la 
multiplicity des cartes entralne un tr6s grand nombre de cas particuliers non 
reproductibles en laboratoire. L'invention suivante a pour but de valider ou 
tester en conditions normales d'utilisation le fonctionnement d'un logiciel 
15 d'application. 

A cet effet, l'invention concerne un terminal dote d'un programme 
d'application, d'au moins une sortie constitute soit par un affichage, soit par 
une imprimante, soit par un rtseau de communication, soit par un objet 
portable et cooperant avec un objet portable dote d'une zone de memoire 

20 non-volatile contenant des donnees et comportant un lecteur communiquant 
avec ledit objet portable, caracterise en ce que I'appareil comporte des 
moyens de lecture ou de stockage dans sa memoire de donnees de 
diagnostic ou de supervision et un moyen d'emission desdites donnees vers 
des sorties specifiees en fonction d'informations fournies par les donntes 

25 d'autodiagnostic ou de supervision suite d I'extcution d'au moins une tache 
de son programme d'application en relation avec I'objet portable. 

Selon une autre caracteristique, les moyens Remission des donntes 
d'autodiagnostic sont actives un certain nombre de fois. 

Selon une autre caracteristique, les moyens d'emission des donnees 
30 d'autodiagnostic ou de supervision comporte des moyens d'6criture dans 
I'objet portable connecte a I'appareil. 

Selon une autre caracteristique, les donnees d'autodiagnostic ou de 
supervision sont constitutes par au moins un triplet d'information 
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correspondant pour une premiere information a une t£che d§termin6e du 
programme d'application, pour la seconde information a un type de donnees 
correlees a la tache executee et a presenter a une sortie, et pour la 
troisieme information a une valeur de specification de la sortie a laquelle le 
5 type de donnees doit §tre presents parmi celles presentes sur le terminal. 

Selon une autre caracteristique, I'appareil dispose d'un moyen de test de la 
presence de donnees d'autodiagnostic ou de supervision dans un objet 
portable et de d£clencher la lecture et le stockage de ces donnees dans une 
zone specifique 2TD de la memoire du terminal. 

10 Selon une autre caracteristique, le terminal comporte des moyens 
d'introduction de donn§es d'autodiagnostic ou de supervision dans un objet 
portable. 

Un autre but de Pinvention est de proposer un procede de supervision du 
fonctionnement d'un terminal ou d'autodiagnostic d'un terminal. 

15 Ce but est atteint par le fait que le procede d'autodiagnostic ou de 
supervision a partir d'au moins un triplet d'information correspondant pour 
une premiere information 3 une tache determine d'un programme 
d'application execute soit par un objet portable soit par un terminal, pour la 
seconde information a un type de donnees correlees & la t&che executee et 

20 a presenter sur une sortie et pour la troisieme information a une valeur de 
specification de la sortie parmi celles presentes sur le terminal se 
caracterise en ce qu'il consiste : 

- a executer une tache du programme d'application sur le terminal ; 

- a tester un indicateur soit dans le terminal soit dans I'objet portable pour 
25 determiner si une fonction d'autodiagnostic ou de supervision est 

operationnelle, puis dans le cas d'une reponse positive ; 

- a rechercher dans la memoire soit de I'objet portable soit du terminal s'il 
existe parmi les triplets d'information stockSs un triplet dont la premiere 
information correspond a la teche determinee executee par le terminal ou la 

30 carte ; 
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- a emettre vers la sortie specifiee par le triplet ainsi lu la valeur de la 
donnee correlee a la tache executee et a referencer par la seconde 
information du triplet 

Selon une autre particularite, le procede comporte une etape de test 
5 consistant d determiner s'il existe d'autres t&ches a ex6cuter et d la suite de 
Texecution de ces t&ches & rechercher tous les triplets d'information 
correspondants a I'execution de cette t&che. 

Selon une autre particularite, le procede comporte une etape de lecture d'un 
objet portable memorisant dans sa memoire non-volatile une plurality de 
10 triplets et une etape de stockage de ces triplets dans une zone de memoire 
non-volatile du terminal suivie d'une 6tape d'activation d'un indicateur de 
fonction d'autodiagnostic ou de supervision active. 

Selon une autre particularite, le procede comporte une etape de test pour 
determiner si I'objet portable est une carte specifique a la fonction 
is d'autodiagnostic ou de supervision ou une carte dite banale. 

Selon une autre particularite, les donnees d'autodiagnostic ou de 
supervision sont constitutes par un quatrieme champ d'information 
contenant, au depart dans I'objet portable I'adresse tfecriture (Adr-V), le 
nombre d'octets & 6crire (Nb-V), apr6s Toperation d'autodiagnostic la valeur 
20 a 6crire (Val). 

Un autre but de Finvention est de proposer un objet portable utilisable avec 
le terminal et le procede d'autodiagnostic ou de supervision. 

Ce but est atteint par le fait que I'objet portable est une carte d 
microprocesseur fonctionnant grace a un systeme d'exploitation memorise 
25 sur la carte et comportant une mdmoire non-volatile contenant au moins un 
triplet d'information dans une zone determinee de cette memoire non-volatile 
dont la position est definie par des champs d'adresse situ6s dans la partie 
de memoire servant e stocker le systeme d'exploitation. 



30 Selon une autre particularite, la partie de memoire non-volatile servant a 
memoriser le systeme d'exploitation comporte egalement dans un champ 
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memoire une information constituant un compteur d'utilisation de la fonction 
d'autodiagnostic. 

Selon une autre particularity, la zone mSmoire stockant le systeme 
d'exploitation comporte un champ permettant de mSmoriser un indicateur 
5 d'activation de la fonction d'autodiagnostic ou de supervision. 

D'autres particularites et avantages de la pr6sente invention apparaitront 
plus clairement £ la lecture de la description ci-apr&s faite en reference aux 
dessins annexes dans lesquels : 

la figure 1 est un tableau explicatif des triplets constitues des taches 
10 6lementaires, des types de donnees et des types de sorties que Ton peut 
associer a Texecution de chacune des taches d'un programme d'application ; 

la figure 2 est un schema des zones memoire non-volatile utilisees sur un 
objet portable de test necessaire a la mise en oeuvre du procede de 
invention ; 

is la figure 3 represente les differentes etapes d'execution des programmes 
^initialisation du terminal et d'execution de la fonction d'autodiagnostic ; 

la figure 4 represente une vue schematique des zones de stockage des 
informations dans la memoire non-volatile dun objet portable dit banal ; 

la figure 5 represente les differentes 6tapes d'execution d'un programme 
20 ^initialisation du terminal et d'execution de la fonction d'autodiagnostic sur 
ce terminal avec une carte dite banale. 

Une maniere de realiser I'invention consiste dans une premiere variante, 
tfune part a utiliser une carte a microprocesseur fonctionnant grSce ^ un 
systeme d'exploitation memorise sur la carte et constituant une "carte a puce 
25 dite intelligente" qui est prealablement initialisee avec des donnees 
d'autodiagnostic, d'autre part a faire prendre en compte ces donnees par le 
terminal dont on veut tester le logiciel d'application. 

Un logiciel duplication dans un terminal peut se decomposer en t&ches 
elementaires qui se succedent a des moments determines. Par exemple, 
30 pour une application bancaire, on peut decomposer une transaction par les 
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t&ches elementaires (Ti) suivantes : Verification (T1, Fig. 1) si la carte 
introduce est habilitee, Authentication (T2) du porteur, Acquisition (T3) des 
donn&es de la transaction dans le terminal, Inscription de ces donn6es dans 
le microcircuit de la carte, Validation (T4) de la transaction dans le terminal 
5 et la carte. 

D'autres part et toujours lors d'une transaction, le logiciel d'application 
manipule des donndes, ces donnees peuvent etre utilisees temporairement 
comme, d'une part le Code elabore par le porteur (Cp) qui est stocke dans la 
memoire du terminal, d'autre part i'identite du porteur (Ip) qui est stockee 

10 dans la carte ou encore comme le Montant de la transaction (Mt) ou la Date 
de la transaction (Dt) qui sont stockes dans le terminal et la carte. Lors de 
I'execution de chaque tSche 6l6mentaire, chacune de ces donnees peuvent 
etre initialisees, modifiees ou inchangees. La fonction d'autodiagnostic 
d'utilisation du logiciel duplication consiste a controler les donn§es de la 

is transaction au moment de certaines t&ches et ceci dans des conditions 
normales d'utilisation. Cette fonction peut etre realisee soit par le logiciel de 
base, soit par le logiciel d'application ; 

Pour ce faire, I'operateur charge du contrdle elabore une grille compos§e 
d'un cot§ des teches 6lementaires identifiables notees Ti et de I'autre cot§, 

20 des donnees Dj constitutes par les informations telles que : Cp, Ip, Mt et Dt. 
La figure 1 montre un exemple d'une telle grille. Pour contrdler le 
deroulement correct d'une transaction, l'op6rateur choisit de verifier la valeur 
de certaines donnees lors de I'execution de taches bien precises. Cela 
revient a associer une donnee Dj a une tache Ti, ces associations sont 

25 symbolisees par des croix sur la grille de la figure 1. Un troisieme element 
d' information Sk est rajoute. La valeur de ce code precise le type de sortie 
utilisee pour emettre la donnee a controler : vers le reseau lorsque Sk est a 
une premiere valeur par exemple "1" (Sk = 1), vers Pimprimante lorsque Sk 
est a une deuxieme valeur par exemple "2" (Sk = 2), ou vers I'ecran lorsque 

30 Sk est a une troisieme valeur par exemple "3" (Sk = 3). L'operateur introduit 
les triplets d'information (Ti, Dj, Sk) dans une unite centrale speciale dite de 
diagnostic, cette unite centrale est dotee d'un lecteur de carte. Le logiciel de 
diagnostic est configure selon I'application a tester de telle sorte que les 
triplets (Ti, Dj, Sk) sont identifies lors de la saisie sur ecran par Tindication 
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precise des taches elementaires et des donn6es d controler et non les 
references numeriques Ti, Dj, Sk... 

La carte contenant les donn6es d'autodiagnostic est : soit une carte 
sp§ciale, soit une carte banale utilisee couramment pour une application. 
5 Une description d§taill§e d'une realisation est donnee pour chaque cas. 

D6crivons tout d'abord le cas ou une carte speciale dite "carte de test" (20, 
Fig. 2) est utilisee pour contenir les donnees d'autodiagnostic. Une 
procedure securitaire est mise en oeuvre pour §viter qu'un fraudeur puisse 
se servir d'une telle carte de fa?on non autorisee. La carte de test contient, 
10 dans la zone memoire secrete non representee, un code secret dit de 
diagnostic "KD". Ce code secret doit §tre pr6alablement.pr6sent§ d la carte 
qui le v6rifie et, s'il est egal & un code de reference, autorise P6criture des 
donnees d'autodiagnostic dans la memoire programmable de la carte. 

En provision du stockage des donnees d'autodiagnostic, la memoire 

15 programmable non volatile de la carte de test possede en plus de la zone 
systdme ZS contenant le syst£me Sexploitation de la carte et de la zone 
(AZU autre zone utilisable) permettant d'autres memorisations, une zone 
(22) appelee "ZD". C'est dans cette zone que sont stock§s successivement 
les triplets (Ti, Dj, Sk). Ainsi une premiere zone (220) d'une memoire permet 

20 le stockage du premier triplet T1 ? D2, 1 ; une deuxieme zone (221) permet le 
stockage du deuxieme triplet T2, D1, 2 ; une troisieme zone (222) permet le 
stockage du troisieme triplet T3, D3, 1 ; une quatrieme zone (223) permet le 
stockage du quatrieme triplet D4, D3, 3 ; une cinquieme zone (224) permet 
le stockage du triplet T4, D4, 1 ; T1, T2, T3, T4, D1, D2, D3, D4 repr6sentant 

25 respectivement les informations de la figure 1 . II est bien evident que Pobjet 
portable peut comporter plus ou moins de triplet selon le type de supervision 
ou d'autodiagnostic que Ton veut effectuer sur les taches executees par le 
programme d'application. La zone ZD est reperee par son adresse de debut 
: U ADD_ZD W et son adresse de fin "ADF-ZD", les deux valeurs d'adresse sont 

30 stockees dans la partie (230, 231) de la memoire programmable allouee au 
syst§me Sexploitation. 

La memoire programmable non volatile est de type EPROM, EEPROM, 
FeRAM, SRAM ou FLASH. La figure 2 d6crit Torganisation de cette memoire 



WO 98/28720 



PCT/FR97/02388 



8 

en reprenant les informations citees par la figure 1 . Avantageusement, la 
donnee Dj est I'adresse physique de la donn§e £ contr&ler dans la mdmoire 
de travail du terminal. 

line fois programm6e, la carte de test est introduite dans le terminal dans 
5 lequel doit se derouler la fonction d'autodiagnostic. La figure 3 est un 
organigramme illustrant la chronologie des evenements du programme 
constitute d'une sequence d'attente et de test (1, 2, 3), le test d§clenchant 
en fonction du resultat soit une sequence de chargement (4 a 7, Fig. 3) du 
terminal avec les donnees d'autodiagnostic, soit une sequence d'execution 
10 du programme d'autodiagnostic (8 3 16, Fig. 3) qui est incorpore soit dans le 
logiciel de base du terminal, soit dans le logiciel d'application. L'6tape 1 est 
Initialisation du terminal apres une mise sous tension et I'Stape 2 est la 
phase d'attente d'un ordre ou d'une introduction de carte. A l'6tape 3, le 
terminal teste si la carte introduite dans le lecteur est une carte banale, et a 
15 I'etape 4 si la carte est une carte de test. Dans ce dernier cas, le terminal 
execute a I'etape 5 une procedure d'authentification de la carte par un code 
de reference ou, par un schema classique d'authentification challenge- 
reponse utilisant un algorithme et une cl6 secrdte (KD). 

Une fois la carte de test identifi&e et authentifi6e, le programme du terminal 
20 lit a l'6tape 6 les informations contenues dans la zone ZD. La selection et la 
localisation des triplets s'effectuent d I'aide des deux pointeurs ADD_ZD et 
ADF-ZD. Les triplets (Ti, Dj, Sk) successivement lus dans la zone ZD sont 
stockes dans le meme ordre dans une zone de la memoire du terminal 
appel6e ZTD. Une fois le dernier triplet stocke dans la zone ZTD, le 
25 programme du terminal, d T6tape 7, positionne d Tetat actif un indicateur 
d'autodiagnostic "lnd_DT" dans la memoire du terminal. Puis le programme 
du terminal reboucle en attente d'une commande ou d'une autre introduction 
de carte sur I'etape 2. 

Une nouvelle carte est introduite, c'est une carte banale, compatible avec 
30 implication traitee par le terminal. On a dit pr6c6demment que le logiciel 
d'application dans le terminal se decompose en t&ches 6l6mentaires Tt que 
Ton peut individuellement executer (etape 8). A la fin de l'ex6cution de 
chaque tache que Ton peut referencer par le code Tt, le programme 
d'application teste a I'etape 9 I'indicateur lnd_DT du terminal. S'il est inactif, 
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la fonction d'autodiagnostic n'est pas op6rationnelle, te programme continue 
d executer les autres taches. Si Pindicateur lnd_DT est actif, le programme 
du terminal recherche a Petape 10 dans la zone ZTD de la memoire du 
terminal le premier triplet (Ti, Dj, Sk) pour lequel Tt =Ti c'est a dire, s'il y a 
5 une donnee a tester a la suite de la t&che qui vient de s'ex§cuter. Si oui, d 
P6tape 11, la valeur "Val" de cette donnee (Dj) est stockee temporairement 
dans la memoire du terminal et en fonction de la valeur de Sk, elle est traitee 
de la fafon suivante : 

Si Sk est §gal a "1" (§tape 12), la donnee Dj doit etre envoyee vers le 
to r§seau. Un bloc de trois donnees est alors constitue : la valeur du champ Tt, 

la r6f6rence Dj de la donnee d analyser et la valeur 'Val" de cette donn6e 

extraite de la memoire du terminal. Ces blocs sont m§morises les uns £ la 

suite des autres dans une zone de la memoire du terminal appelee "ZDR". 

Le contenu de cette zone est envoye vers le reseau a la fin de la transaction 
is ou lors d'une demande par le reseau des donnees d'autodiagnostic. Une 

fois toutes les donn6es transmises, la zone ZDR est videe pour etre re- 

utilisee lors d'une nouvelle introduction de carte. 

Si Sk est egal a "2" (etape 13), la donnee Dj doit etre envoyee vers 
rimprimante du terminal pour impression. Un message est alors cree dans le 

20 tampon logiciel de rimprimante, il est compost d'un texte (code ASCII) 
rappelant la nature de la donn§e, par exemple "MONTANT : "suivi de la 
valeur decimale ou hexadecimale de la donnee Dj, le message se termine 
par un sSparateur et un "RETOUR CHARIOT - SAUT DE LIGNE". On peut 
regrouper tous les messages d'autodiagnostic et les imprimer & la fin de la 

25 transaction. 

Si Sk est egal a tt 3 D (§tape 14), la donn§e doit etre envoyee vers I'afficheur 
du terminal pour affichage. Un message est alors cre& dans le tampon de 
rafficheur, compos§ d'un texte (code ASCII) rappelant la nature de la 
donnee par exemple "MONTANT : "suivie de la valeur decimale ou 
30 hexadecimale de la donnee Dj. Les messages correspondant a chaque 
§l6ment (Tt, Dj, "3") sont affich§s successivement pendant un certain temps 
fixe par le programme. On peut regrouper tous les messages et les afficher & 
la fin de la transaction, le defilement des messages peut §tre contr&le par 
I'appui sur une touche du clavier du terminal. 
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Une fois la donnee Dj traitee, le programme verifie d I'etape 15, s'il existe 
dans ZTD d'autres triplets pour lesquels Tt =Ti. Si oui, le programme 
reboucle a I'etape 11 et traite un nouveau triplet. Pour chaque t&che 
el§mentaire ( la recherche de triplets s'effectue en balayant toute la zone 
5 ZTD. S'il ne reste plus de triplets (Ti=Tt. Dj, Sk) a traiter, le programme, d 
I'etape 16, continue en sequence et passe eventuellement dans une variante 
£ une autre t&che sans executer les §tapes 17 et 18 decrites ci-apres. S'il 
n'y a plus d'autres taches a executer, le programme reboucle d l'§tape 3, en 
attente d'une commande ou d'une nouvelle introduction de carte. 

10 On peut associer un compteur initialise avec un certain nombre a I'indicateur 
Ind-DT dans le terminal de telle sorte que, la fonction d'autodiagnostic est 
activee que pour ce nombre d'introduction de carte banale. Pour ce faire, 
l'op6rateur a prealablement introduit ce nombre dans un emplacement 
spScifique (21 , fig. 2) de la memoire programmable de la carte de test par 

15 exemple, & cot§ des emplacements (230, 231) de ADD_ZD et ADF-ZD. Ce 
nombre est dans ce cas stock§ dans la memoire du terminal apres 
Introduction de la carte de test, & I'etape 6. Puis ce nombre est decrements 
(etape 17) a chaque fin d'execution d'une fonction d'autodiagnostic, (sortie 
OUI de I'etape 16). Lorsque celui-ci passe a "0", I'indicateur lnd_DT est 

20 positionne inactif (etape 18) et, eventuellement, le contenu de la zone ZTD 
est effacee. 

Si ce compteur n'est pas installe les etapes 17 et 18 n'existent pas et la 
fonction d'autodiagnostic s'ex6cute une seule fois ou, indSfiniment jusqu'a ce 
qu'une nouvelle introduction de la carte de test rebascule I'indicateur lnd_DT 
25 en position inactive. 

II est possible d'eviter I'utilisation d'une carte de test et d'employer que des 
cartes banales a condition qu'elles supportent les fonctions speciales 
d'autodiagnostic. Pour cela la memoire programmable de la carte banale 
contient en plus de la zone systeme ZS et de la zone utilisateur ZU, une 
30 zone ZD qui est reperee par son adresse de debut : °ADD_ZD n et son 
adresse de fin "ADF-ZD" (voir figure 4). La memoire programmable de la 
carte banale contient dans sa zone systeme egalement a un emplacement 
(232) un indicateur "lnd_D D signalant si la fonction d'autodiagnostic est 
active ou non. Toutes ces donnees ADD-ZD, ADF-ZD, Ind-D sont stockees 
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dans des emplacements (230, 231, 232), de la partie ZS de la memoire 
programmable allouee au systeme Sexploitation. Les deux valeurs 
d'adresse sont d6termin6es et 6crites lors de la personnalisation de la carte 
la zone ZD, cette m6thode est simple & mettre en oeuvre mais possdde 
5 Tinconvenient de necessiter la reservation d'un emplacement important dans 
toutes les cartes pouvant servir pour I'autodiagnostic. 

Avantageusement, ('emplacement de la zone ZD peut §tre alloue 
dynamiquement par le systeme d'exploitation de la carte d la suite de la 
bonne presentation du code KD. L'operateur precise alors 3 la carte le 

10 nombre de triplets (Ti, Dj, Sk) ou le nombre d'octets a r6server pour ZD. Le 
systeme d'exploitation de la carte recherche alors dans la memoire 
programmable un emplacement vierge suffisant. Si la memoire ne contient 
pas un tel emplacement vierge, le systeme d'exploitation renvoie un 
message d'erreur et interrompt la procedure d'introduction des donn6es 

is d'autodiagnostic. Dans le cas contraire, la place est suffisante le systeme 
d'exploitation memorise I'adresse de debut : "ADDJZD" et Padresse de fin 
"ADF-ZD". Nous verrons par la suite comment, apr6s I'execution de la 
fonction d'autodiagnostic, on peut effacer la presence de la zone ZD et ainsi 
liberer cet emplacement m6moire. 

20 De la m§me fa$on que pour la carte de test. Une procedure s6curitaire est 
prevue pour eviter qu'un fraudeur puisse se servir d'une carte banale pour y 
introduce des donnees d'autodiagnostic. Un mecanisme de type challenge- 
r6ponse avec algorithme et code secret permet d'authentifier l'operateur et 
d'autoriser I'ecriture et la lecture (nous le verrons pourquoi par la suite) des 

25 triplets dans ZD. 

Dans le cas d'une carte banale utilisee pour transmettre les donnees 
d'autodiagnostic, le code Sk peut prendre une quatrieme valeur : 4, cette 
valeur indique que la valeur de la donnee Dj a controler est inscrite dans la 
carte. Un quatrieme champ situe a une adresse "Adr-V" est alors alloue a la 
30 suite du triplet (Ti, Dj, Sk=4) et on memorise done des quadruplets. La taille 
de ce champ correspond a celle de la donnee a inscrire, l'operateur doit 
done pr6ciser le nombre d'octets "Nb-V" de ce quatrieme champ et son 
contenu est constitue au depart de I'adresse (Adr-V) d'ecriture puis comme 
on le vena par la suite apr6s la sortie par la valeur "Val". Le cinquieme 
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triplet (225) de la figure 4 possede cette structure. Lorsque tous les triplets 
(Ti, Dj, Sk) (220 a 225) sont introduits dans la zone ZD, I'indicateur "Indjy 
est positionne actif signalant ainsi que la fonction d'autodiagnostic est active 
dans cette carte. 

5 La figure 5 montre le deroulement des operations lorsque la carte decrite 
prec6demment est introduite dans un terminal. L'etape 1 est I'initialisation du 
terminal apres une mise sous tension et P6tape 2 est la phase d'attente 
d'une introduction de carte, le programme continue, lorsque la carte est 
reconnue comme compatible avec Tapplication par reconnaissance par le 

10 terminal de la presence des informations n§cessaires. A cette 6tape 2, le 
programme effectue la selection de Tentite correspondant £ I'application. A 
la difference de la carte de test, lorsque la carte banale est introduite par le 
porteur, ce dernier peut parfaitement ignorer que la fonction d'autodiagnostic 
est active. 

15 A l'6tape 3, le terminal teste si I'indicateur lnd_D dans la carte est 
positionne actif et done, si la fonction d'autodiagnostic est operationnelle. 
L'indicateur peut etre emis soit par une valeur particuiiere dans les octets 
emis par la carte lors de la mise sous tension, soit par une valeur 
particuiiere emise lors de la selection de I'entite correspondant a 

20 I'application utilis6e sur la carte. Si lnd_D est actif, le programme passe d 
l'etape 4. Au cours de cette etape 4, la zone ZD est lue a I'aide des deux 
valeurs d'adresse ADD-ZD et ADF_ZD et I'ensemble des triplets lus dans la 
carte sont stockes dans la memoire ZTD du terminal. Si le triplet comporte 
une information Sk dont la valeur est "4", le systeme d'exploitation de la 

25 carte renvoie en plus des trois valeurs Ti, Dj et Sk , I'adresse "Adr-v" du 
quatrieme champ reserve pour inscrire la donnee dans ZD et le nombre 
d'octet "Nb_v" de ce champ. Pour des raisons de security, I'accds en lecture 
§ la zone ZD de la carte n'est accorde par le systeme d'exploitation de la 
carte que si I'indicateur lnd_D de la carte est actif. Une fois toutes les 

30 informations contenues dans la zone ZD stockees dans la zone memoire 
ZTD du terminal, le terminal positionne son indicateur d'autodiagnostic Ind-D 
en position active (voir etape 5 de la figure 5). Les Stapes 3, 4 et 5 sont des 
parties de la sequence d'initialisation du dialogue entre la carte banale et le 
terminal et s'executent avant ('execution du programme d'application. 
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On a dit precedemment que le logiciel duplication se decompose en taches 
6lementaires que Ton peut individueliement tester. A la fin de l'ex§cution de 
chaque t&che que Ton peut referencer par un numero Tt (6tape 6), par 
exemple le logiciel de base, reprend la main et teste si I'indicateur de 

5 diagnostic interne au terminal est actif (etape 7). Si celui-ci est actif, a 
l'§tape 8, le programme recherche s'il existe un 6l6ment (Ti, Dj, Sk) stock6 
dans la zone ZTD qui possede une valeur de champ Ti egale a celle de Tt. 
Si oui : il y a une donnee (reference Dj) d contrdler a la suite de la t&che qui 
vient de s'executer, la valeur de cette donnee est alors stockee 

10 temporairement dans la memoire du terminal. En fonction de la valeur de Sk ( 
elle est traitee de la fagon suivante (etape 9) : 

Si Sk est 6gal a "1" (etape 10), la donnee Dj doit etre envoyee par le 
terminal vers le reseau. Un bloc de trois donnees est alors constitue de la 
valeur du champ Tt, de la reference Dj de la donnee a analyser et de la 

15 valeur "Val" de cette donn&e extraite de la memoire du terminal. Ces blocs 
sont memorises les uns a la suite des autres dans une zone de la memoire 
du terminal appelee tt ZDR M . Le contenu de cette zone est envoyee vers le 
reseau a la fin de la transaction ou lors d'une demande par le reseau des 
donnees d'autodiagnostic. Une fois toutes les donnees transmises, la zone 

20 ZDR est videe pour etre re-utilisee lors d'une nouvelle introduction de carte. 

Si Sk est egal a "2", la donnee doit etre envoyee vers I'imprimante du 
terminal, le programme se poursuit par I'etape 11. Au cours de cette etape 
1 1 un message est cre6 dans le tampon de rimprimante, compose d'un texte 
(code ASCII) rappelant la nature de la donnee par exemple * MONTANT : d 
25 suivie de la valeur decimate ou hexadecimale de la donn§e Dj, le message 
se termine par un separateur et un " RETOUR CHARIOT - SAUT DE LIGNE 
n . Avantageusement, on peut regrouper tous les messages et les imprimer & 
la fin de la transaction. 

Si Sk est egal a "3", la donnee doit etre envoyee vers Tafficheur du terminal, 
30 le programme se poursuit par T6tape 12. Au cours de cette 6tape 12, un 
message est alors cree dans le tampon de I'afficheur, compose d'un texte 
(code ASCII) rappelant la nature de la donnee par exemple "MONTANT : * 
suivie de la valeur decimale ou hexadecimale de la donn§e Dj. Les 
messages correspondant a chaque element (Tt, Dj, "3") sont affichSs 
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successivement pendant un certain temps fixe par le logitiel- 
d'autodiagnostic. Avantageusement, on peut regrouper tous les messages et 
les afficher a la fin de la transaction, le defilement des messages peut §tre 
contrdte par I'appui sur une touche du clavier du terminal. 

5 Si Sk est egal a "4°, la donn§e doit §tre memoris6e dans la carte, le 
programme se poursuit par P6tape 13. Au cours de cette 6tape 13, un 
quatrieme champ est r§serv6 & cet usage dans ZD, Padresse "Adr-v" de ce 
quatrieme champ et le nombre d'octets "Nb_v" de ce champ ont ete 
memorises dans la zone ZTD lors du chargement des donnees 

10 d'autodiagnostic dans le terminal. Le terminal envoie done a la carte une 
commande d'6criture avec les parametres suivants : 
Adresse d'ecriture : Adr-v 

Nombre d'octets a ecrire : Nb-v 

Valeur a ecrire : "Val" celle de la donnee Dj. 

15 L'ecriture dans la zone ZD n'est autorisee par le systeme Sexploitation de la 
carte que dans le quatrieme champ d'un triplet de type Sk=4 correspondant 
a la Ti. Dans le cas ou le triplet Ti de la carte n'est pas de type Sk=4, 
P6criture est refus6e. Un compte rendu d'execution est systSmatiquement 
renvoye au terminal apres chaque commande d'ecriture, si celle-ci n'a pas 

20 ete menee a bien, le terminal avertit Tutilisateur par un message. L'utilisation 
des donnees memorisee est expliquee dans la suite. Une variante consiste a 
stocker temporairement toutes les valeurs des donnees Dj de type Sk=4 et ^ 
effectuer les commandes d'ecriture des valeurs d la fin de la transaction. 

Une fois la donnee Dj traitee, a Tdtape 14, le programme verifie s*il existe 
25 dans la zone ZTD d'autres triplets pour lesquels Tt =Ti. Si oui, le programme 
reboucle a Tetape 9 et traite un nouveau triplet. Pour chaque tache 
6l6mentaire, la recherche de triplets s'effectue en balayant toute la zone 
ZTD. S'il ne reste plus de triplets (Ti=TT, Dj, Sk) & traiter, le programme 
passe a P6tape 15 en recherchant d'autre tache a executer. S'il n'y a plus 
30 d'autres teches a executer, le programme reboucle a Petape 2, en attente 
d'une nouvelle introduction de carte. 
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Dans le cas tfune carte banale utilis§e pour transmettre les donn§es 
d'autodiagnostic, la fonction d'autodiagnostic doit pouvoir s'ex6cuter qu'une 
seule fois. En effet, I'operateur peut ne vouloir effectuer qu'un seul test du 
terminal lecteur de carte, ensuite les donn§es ne doivent pas sortir du 

5 terminal. De plus, si la donn6e a controler poss§de un champ Sk de type 4, 
un seul stockage n'est pas possible. Pour recommencer une nouvelle fois la 
fonction, la carte doit etre de nouveau programme par l'op§rateur. Pour 
eviter d'etre utilisee ptusieurs fois avec la fonction d'autodiagnostic, juste 
apres la lecture de la zone ZD par le terminal, le systeme Sexploitation de la 

10 carte va positionner £ Petat inactif Pindicateur lnd_D. Pour des raisons de 
securite, il peut aussi effacer tous les triplets de type Sk=1, 2 et 3. 
L'indicateur Ind-D est inactif, la lecture de la zone ZD n'est plus possible. 

Les donnees correspondant au type Sk=4 sont trait6es lorsque la carte 
banale passe dans un terminal habilite a les lire, c'est a dire un terminal qui 

15 s'est authentifie de la meme fagon que lors de r6criture des donn§es 
d'autodiagnostic. Une fois tous les triplets lus, Peffacement total de la zone 
ZD peut §tre effectu6. Cet effacement peut fetre provoque par une 
commando speciale ou lors de la premiere ecriture dans la zone ZD. 
L'effacement, que justifie la securite, permet aussi de lib§rer la place 

20 occupee par la zone ZD. Cet emplacement peut §tre utilise par I'application. 

Ce fonctionnement style "mono-coup" de la fonction tfautodiagnostic peut 
dtre interessant, lorsqu'une personne rapporte sa carte de crSdit d une 
agence bancaire en declarant que, sur un certain type de terminal de 
paiement, sa carte "ne marche pas". Uagence va enregistrer les donnees 

25 tfautodiagnostic dans cette carte en sp6cifiant que les donn6es de la 
transaction (montant, date, valeur du certificat) seront 6crites dans la carte 
en positionnant dans chaque triplet correspondant a une tSche & enregistrer 
le troisieme champ Sk a la valeur "4" (Sk=4). La personne retourne chez le 
commergant ou se trouve le terminal £ tester, effectue une transaction et 

30 revient a son agence qui analyse ou fait analyser a distance les informations 
stockees dans ZD. 

Le fonctionnement mono-coup est aussi int6ressant pour verifier le 
fonctionnement tfun terminal soup$onne de fraude. Un organisme bancaire 
repere que, sur un terminal, des transactions sont credit§es sans qu'il existe 
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des demandes de d§bit sur des comptes clients. L'organisme bancaire va 
envoyer des controleurs dotes de cartes banales avec ia fonction 
d'autodiagnostic. A leurs retours, les donn6es chargees dans la carte seront 
analysdes. 

5 Un autre exemple : un organisme bancaire peut trouver interessant de 
connaitre rapidement le moment et I'endroit ou une carte est utilisee pour la 
premiere fois. Pour cela, avant de d6livrer la carte a son porteur, cette 
dernfere contient deux triplets de type Sk=1 dans lequel chaque troisieme 
champ Sk est a la valeur "1". Dans la zone ZD, avec la donn§e Dj 

10 correspondant a la date de la transaction et la donn6e Dj correspondant a 
Tidentite du terminal. Lors de la premiere transaction, les deux blocs (Ti, Dj, 
"date") et (Ti, Dj', "identite du terminal") seront envoyes immediatement sur 
le reseau. 
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REVENDI CATIONS 

1. Terminal dote d'un programme d'application, cfau moins une sortie 
constitute soit par un affichage, soit par une imprimante, soit par un reseau 
de communication, soit par un objet portable et comportant un lecteur d'objet 

5 portatif, et cooperant par ledit lecteur avec un objet portable dot6 dune zone 
de mtmoire non-volatile (ZD) contenant des donn§es ( caracterise en ce qu'il 
comporte des moyens de lecture ou de stockage, dans sa mtmoire, de 
donnees (Ti, Dj, Sk) d'autodiagnostic ou de supervision et un moyen 
d'emission desdites donnees vers des sorties (1-4) specifites en fonction 

10 ^informations fournies par les donnees d'autodiagnostic ou de supervision 
suite a I'execution d'au moins une tache Tt de son programme ^application 
en relation avec I'objet portable. 

2. Terminal, selon la revendication 1, caracterise en ce que les moyens 
tfemission des donntes d'autodiagnostic sont actives un certain nombre de 

15 fois. 

3. Terminal, selon la revendication 1, caractSrist en ce que les moyens 
d'6mission des donn§es d'autodiagnostic ou de supervision comportent des 
moyens d'ecriture dans I'objet portable connecte au terminal. 

4. Terminal, selon la revendication 1, caracterise en ce que les donnees 
20 d'autodiagnostic ou de supervision sont constitutes par au moins un triplet 

(Ti, Dj, Sk) d'information correspondant pour une premi&re information (Ti) a 
une tache determinee du programme ^application, pour la seconde 
information (Dj) a un type de donn§es correltes a la tache executee et a 
presenter a une sortie, et pour la troisieme information a une valeur (Sk) de 
25 specification de la sortie a laquelle le type de donnees doit §tre presente 
parmi celles presentes sur le terminal. 

5. Terminal, selon la revendication 1, caracterise en ce qu'il dispose d'un 
moyen de test de la presence de donnees d'autodiagnostic ou de 
supervision dans un objet portable et de d§clenchement de la lecture et du 

30 stockage de ces donnees dans une zone specifique ZTD de la mdmoire du 
terminal. 
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6. Terminal, selon la revendication 1, caracterise en ce qu'il comporte des 
moyens d'introduction de donnees d'autodiagnostic ou de supervision dans 
un objet portable. 

7. Procede de supervision du fonctionnement tfun terminal ou 
5 d'autodiagnostic tfun terminal a partir tfun triplet d'information 

correspondant pour une premiere information a une tache d6terminee tfun 
programme d'application execut6 soit par un objet portable soit par un 
terminal, pour la seconde information a un type de donn§es corr6l6es a la 
tache executee et d presenter sur une sortie et pour la troisfeme information 
10 a une valeur de specification de la sortie parmi celles pr6sentes sur le 
terminal caracteris6 en ce qu'il consiste : 

- a executer (9) une tache du programme d'application sur le terminal ; 

- a tester (9) un indicateur soit dans le terminal soit dans I'objet portable 
pour determiner si une fonction d'autodiagnostic ou de supervision est 

is operationnelle, puis dans le cas d'une reponse positive ; 

- a rechercher (9) dans la memoire soit de I'objet portable soit du terminal s'il 
existe parmi les triplets d'information stockes un triplet dont la premiere 
information correspond £ la tSche determinee executee par le terminal ou la 
carte ; 

20 - & §mettre vers la sortie specifiee par le triplet ainsi lu la valeur de la 
donnee correlee a la tache executee et a referencer par la seconde 
information du triplet. 

8. Proc§de, selon la revendication 7, caracteris6 en ce qu'il comporte une 
etape de test (16) consistant a determiner s'il existe d'autres teches a 

25 executer et ^ la suite de I'execution de ces t&ches a rechercher tous les 
triplets d'information correspondents a I'execution de cette t&che. 

9. Procede, selon la revendication 7, caracterise en ce qu'il comporte une 
etape de lecture tfun objet portable memorisant dans sa memoire non- 
volatile une plurality de triplets et une etape (6) de stockage de ces triplets 

30 dans une zone de memoire non-volatile du terminal suivie 
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d'une etape (7) d'activation d'un indicateur de fonction d'autodiagnostic ou 
de supervision active. 

10. Precede, selon la revendication 7, caracterise en ce qu'il comporte una 
etape de test (3, 4) pour determiner si I'objet portable est une carte 

5 specifique a la fonction d'autodiagnostic ou de supervision ou une carte dite 
banale. 

11. Procede, selon la revendication 7, caracterise en ce que les donnees 
d'autodiagnostic ou de supervision sont constitutes par un quatrteme champ 
^information contenant au depart dans I'objet portable I'adresse d'ecriture 

10 (Adr-V), le nombre d'octets a ecrire (Nb-V), aprds l'op6ration 
d'autodiagnostic la valeur a ecrire (Val). 

12. Objet portable utilisable avec un terminal dote d'un programme 
d'application, d'au moins une sortie constitute soit par un affichage, soit par 
une imprimante, soit par un r6seau de communication, soit par un objet 

is portable, de moyens de lecture ou de stockage, dans sa memoire, de 
donntes (Ti ( Dj, Sk) d'autodiagnostic ou de supervision et d'un moyen 
d'emission desdites donnees vers des sorties (1-4) sptcifiees en fonction 
d'informations fournies par les donntes d'autodiagnostic ou de supervision 
suite a I'execution d'au moins une tache Tt de son programme d'application 

20 en relation avec I'objet portable, caracterist en ce qu'il comporte une carte £ 
microprocesseur fonctionnant grace a un systeme Sexploitation memorise 
sur la carte et comportant une memoire non-volatile contenant au moins un 
triplet (Ti, Dj, Sk) d'information dans une zone ZD determinee de cette 
memoire non-volatile dont la position est definie par des champs d'adresse 

25 situes dans la partie de memoire servant a stocker le systeme d'exploitation. 

13. Objet portable selon la revendication 12, caracterise en ce que la partie 
(25) de memoire non-volatile servant a memoriser le systeme d'exploitation 
comporte tgalement dans un champ memoire une information constituant un 
compteur (21) d'utilisation de la fonction d'autodiagnostic. 

30 14. Objet portable selon la revendication 12, caracterise en ce que la zone 
memoire (25) stockant le systeme d'exploitation comporte un champ 
permettant de memoriser un indicateur (232) d'activation de la fonction 
d'autodiagnostic ou de supervision. 
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